Salesforce Aura 데이터 유출 사태, ShinyHunters 경고
안녕하세요, IT 전문 블로거입니다. 오늘 많은 분들의 관심을 끈 대대적인 보안 사고 소식이 전해졌습니다. 바로 기업용 클라우드 플랫폼인 Salesforce 와 관련된 데이터 유출 사건 때문인데요, 이번 뉴스는 IT 보안에 관심이 있다면 반드시 짚고 넘어가야 할 중요한 내용이 담겨 있습니다.
해킹 집단인 ShinyHunters 가 지난 2025 년 9 월부터 현재까지 지속적으로 이어져온 Salesforce Aura 데이터 탈취 공격과 관련해서 책임 소재를 인정했습니다. 더욱이 그들은 이번이 끝이 아닌 더 많은 공격이 곧 시작될 것이라고 경고하며 주의가 필요하다고 밝혔죠. 이는 우리가 평소 IT 보안에 얼마나 많은 노력을 기울여야만 하는지를 다시 한번 생각하게 만든 충격적인 사건이라 할 수 있습니다.
먼저 이번 공격의 진행 과정을 살펴보면, 공격자들은 Salesforce Experience Cloud 인스턴스를 스캔하며 표적을 확보했습니다. 이는 조직이 자체 CRM 데이터에 직접 연결된 웹 포털을 구축하는 플랫폼으로, 많은 기업들이 고객 관리와 영업 효율을 위해 널리 사용하는 서비스입니다. 공격자들은 이 과정에서 Mandiant 에서 개발한 AuraInspector 도구를 변형해 사용했습니다. 원래는 잘못된 설정 탐지용으로 쓰이는 이 도구에서 노출된 API 엔드포인트를 통해 게스트 유저 권한이 과도한 포탈을 찾아냈습니다.
특히 주목할 점은 그들이 사용했던 방법은 인증 없이 데이터를 추출하기 위한 커스텀 도구의 사용이었습니다. 이를 통해 게스트 유저 레코드 제한을 우회하고 CRM 데이터를 빼내온 후, 이름과 전화번호 같은 개인정보를 가져갔습니다. 이 데이터는 단순히 유출된 정보를 팔아넘기거나, 그다음 사회공학 공격과 피싱 캠페인의 원천으로 활용되며 악용으로 이어질 수 있었습니다.
영향 받는 기업 규모 역시 상당히 큽니다. ShinyHunters 의 대변인은 The Register 에게 “약 400 개 웹사이트, 약 100 개의 고위층 기업에서 데이터를 탈취했습니다”라고 진술했을 정도입니다. 여기서 특히 언급된 곳은 Snowflake, Okta, Lastpass, Salesforce 자체, Sony, AMD 등 유명 기업들이었습니다. 이처럼 IT 서비스 거대 기업들이 주요 표적이 된 이유는 해당 플랫폼의 인지도와 보유하는 데이터의 가치 때문이라 말할 수 있습니다.
그렇다면 왜 이런 사고가 났을까요? Salesforce 측의 입장에서는 이번 이슈는 Salesforce 플랫폼 자체의 취약점 때문이 아님에 주목했습니다. 대신 경험 클라우드 사이트에서 게스트 유저 권한이 너무 광범위하게 설정된 오류라는 것이죠. 즉, 보안팀에서 의도치 않게 권한이 과다하게 부여된 설정을 공격자가 활용했다는 주장입니다. 반면 사이버인사이드 보고서에서는 ShinyHunters 가 제품 내 실제로 존재하는 결함을 악용했다고 주장했으나, 세부적인 정보는 노출되지 않았습니다.
회사들의 대응은 대체로 침묵이지만, LastPass 를 제외한 다른 회사는 이에 대해 입을 열지 않았습니다. 다만 LastPass 는 공식적으로 이 주장들을 조사한다고 밝혔습니다. 이러한 과정에서 우리가 주의해야 할 점은, 플랫폼이 안전하다고 보장받는 것만으로 절대 안심할 수 없음을 알 수 있다는 점입니다. 우리는 종종 인증 없이 데이터를 가져오거나, 노출된 권한을 통해 접근하는 방식이 흔하다는 것을 모르고 있을지 모릅니다.
이번 사고로 인해 우리가 배울 수 있는 점은 무엇일까요? 첫째, 고객 관리와 데이터 접근을 위한 게스트 계정 설정을 정기적으로 검토해야 합니다. 둘째, API 엔드포인트가 외부에 노출되어 있지 않은지 확인해야 하며, 셋째로 유출된 정보가 다음 피싱이나 사회공학적 공격에 사용될 수 있으니 개인정보 보호에 각별히 신경 써야 합니다. 넷째, 해커들이 “더 많은 공격이 오리”라고 경고했으니, 단순히 방어만 하려고 하지 말고 공격자의 시점을 이해하는 것이 중요합니다.
결국 이번 Salesforce Aura 의 데이터 유출 사태는 클라우드 서비스 사용자에게 큰 경각심을 불러일으켰습니다. 기업들은 내부 보안 정책을 강화하고, 외부 공격에 대한 모니터링 시스템을 가동해야 합니다. 또한 개인 사용자나 중소기업도 유사한 클라우드 도구를 사용할 때는 기본 설정을 최상위 보안 수준으로 맞추는 것이 좋습니다. 오늘 포스팅은 이러한 최근 보안 이슈와 관련하여 많은 분이 주의 깊게 검토해야 할 내용이었습니다. 항상 사이버 위협은 변주하고 있으므로, 오늘 뉴스가 끝이 아닌 시작임을 기억해 주세요.
이 글은 Latest from TechRadar의 기사를 바탕으로 작성되었습니다.
